Un fichier regroupant des informations sur 533 millions d’utilisateurs de Facebook circule chez les cyberpirates depuis 2019, a-t-on appris la semaine dernière. Comment est-ce arrivé ? Cette fuite est-elle dangereuse ? Comment s’en protéger ? Le point.

3,5 millions de Canadiens

Le 3 avril dernier, un chercheur en cybersécurité, Alon Gal, a annoncé sur son compte Twitter qu’un fichier contenant les informations de 533 millions d’abonnés au réseau social Facebook, soit 19 % de ses utilisateurs, était offert gratuitement sur le web.

> Lisez le tweet d’Alon Gal (en anglais)

On y trouve même le nom du PDG de Facebook, Mark Zuckerberg. Dans le lot, on compte 3 494 385 Canadiens. L’information a rapidement été vérifiée par des médias comme Business Insider et abondamment relayée.

Ce fichier texte tout simple regroupe essentiellement des données publiques des utilisateurs. On y trouve les nom et prénom, identifiant Facebook, numéro de téléphone, sexe, date et lieu de naissance, ville de résidence, adresse courriel associée au compte Facebook et état matrimonial. Aucun mot de passe ou numéro de carte de crédit n’y figure, a pu confirmer La Presse en téléchargeant le fichier contenant les données des Canadiens touchés.

> Vérifiez si votre adresse courriel ou votre numéro de téléphone figure sur la liste (en anglais)

Nouveauté dans la gratuité

Ce fichier, en fait, est offert dans certains recoins du web depuis 2019. La vulnérabilité qui a permis sa compilation aurait été bloquée à partir de septembre cette année-là, a assuré Facebook dans un billet de blogue le 6 avril dernier.

> Lisez les explications de Facebook (en anglais)

Il s’agissait de la première fois que le réseau social reconnaissait clairement l’existence de cette fuite. Ce n’est pourtant pas une nouvelle toute fraîche : le 25 janvier dernier, le site Motherboard en avait parlé.

> Consultez le site de Motherboard (en anglais)

Dès avril 2019, la firme de sécurité UpGuard avait révélé que les informations de 540 millions d’abonnés Facebook circulaient sur le web et le site TechCrunch avait publié une nouvelle semblable en septembre 2019.

Il semble que la nouveauté, ce mois-ci, c’est que ces fichiers soient maintenant tellement accessibles qu’ils sont gratuits.

« Moissonner » les données

Facebook l’assure et les experts le croient, ces données n’ont pas été obtenues grâce à un piratage des serveurs du réseau social. Il s’agit tout simplement d’une compilation obtenue par un logiciel automatisé demandant peu de connaissances informatiques, et permettant de « moissonner » les données, ce qu’on appelle scraping en anglais.

Le logiciel en question utilisait une fonction de Facebook, l’importation de contacts, qui permettait au logiciel de « sauter » d’un abonné à plusieurs autres en grappillant les informations disponibles. C’est cette vulnérabilité que Facebook assure avoir éliminée dès août 2019.

Danger limité

De toute évidence, les informations qu’on trouve dans les fichiers de cette « fuite » sont plutôt inutiles pour pirater directement un abonné de Facebook. Une simple recherche sur le réseau social permettrait de les trouver. Le fait qu’elles sont maintenant offertes gratuitement sur le web est une indication de leur faible potentiel. Parce qu’elle n’implique pas de mots de passe, cette nouvelle tuile qui s’abat sur Facebook n’a rien à voir, en matière de gravité, avec les 10 milliards de comptes compromis de CAM4 en mars 2020, par exemple, ou les 3 milliards d’utilisateurs de Yahoo! touchés en 2013.

La principale préoccupation, estime Jean Loup Le Roux, expert en sécurité informatique, c’est que cette compilation de données sur Facebook va « faciliter la vie des fraudeurs et des voleurs d’identité ». « Ça va leur servir pour aller chercher de l’information sur une personne. Les “marketers” vont aussi pouvoir récupérer des courriels. »

D’autres experts en cybersécurité estiment que des fraudeurs pourraient profiter de l’inquiétude des abonnés Facebook pour les hameçonner, en se faisant passer pour des responsables du réseau ou en utilisant ces données pour concevoir des courriels trompeurs plus convaincants.

M. Le Roux en profite pour rappeler qu’il vaut mieux publier ses renseignements personnels avec parcimonie sur l’internet. « On le voit de plus en plus, on a peu de contrôle sur les informations privées qu’on envoie à des entreprises comme Facebook. Leur modèle d’affaires est bâti sur le commerce de nos données privées. »